Risoluzione degli errori di runtime dei criteri di AccessControl

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
informazioni

IPDeniedAccess

Codice di errore

accesscontrol.IPDeniedAccess

Corpo della risposta all'errore

{
    "fault": {
        "faultstring": "Access Denied for client ip : client_IP",
        "detail": {
            "errorcode": "accesscontrol.IPDeniedAccess"
        }
    }
}

Esempio di messaggio di errore

{
    "fault": {
        "faultstring": "Access Denied for client ip : 104.132.196.83",
        "detail": {
            "errorcode": "accesscontrol.IPDeniedAccess"
        }
    }
}

Causa

Questo errore si verifica se l'indirizzo IP del client o qualsiasi indirizzo IP trasmesso nell'ambito della richiesta API corrisponde a uno o più indirizzi IP specificati nell'elemento <SourceAddress> all'interno dell'elemento <MatchRule> dei criteri di controllo dell'accesso e l'attributo action dell'elemento <MatchRule> è impostato su DENY.

Ad esempio, supponiamo che <SourceAddress> sia definito come mostrato di seguito:

<SourceAddress mask="32">104.132.196.83</SourceAddress>

Se l'indirizzo IP riportato sopra corrisponde all'indirizzo IP del sistema client (indicato dalla variabile proxy.client.ip) o di uno qualsiasi degli indirizzi IP passati nell'ambito della richiesta API, si verifica l'errore.

Diagnostica

  1. Identifica gli indirizzi IP a cui è stato negato l'accesso per una richiesta API specifica. Puoi trovare queste informazioni nell'elemento faultstring della risposta di errore.

    Ad esempio, nel seguente faultstring, l'indirizzo IP è 104.132.196.83:

    "faultstring": "Access Denied for client ip : 104.132.196.83"
    
  2. Esamina tutti i criteri di controllo dell'accesso nel proxy API che ha avuto esito negativo e determina il criterio specifico in cui gli indirizzi IP specificati nell'elemento <SourceAddress> corrispondono agli indirizzi IP identificati nel passaggio 1 di faultstring.

    Ad esempio, il seguente criterio definisce l'IP <SourceAddress> come 104.132.196.83,, che corrisponde a quanto indicato in faultstring:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
        <AccessControl async="false" continueOnError="false" enabled="true" name="Access-Control">
        <DisplayName>Access-Control</DisplayName>
        <Properties/>
        <IPRules noRuleMatchAction="ALLOW">
            <MatchRule action="DENY">
                <SourceAddress mask="32">104.132.196.83</SourceAddress>
            </MatchRule>
        </IPRules>
        </AccessControl>
    
  3. Determina gli indirizzi IP da cui è stata effettuata la richiesta API. Questa operazione può essere eseguita in diversi modi:

    1. Utilizzo di UI Trace

      1. Acquisisci la traccia per la richiesta API non riuscita.
      2. Seleziona dal riquadro di destra il criterio di controllo dell'accesso specifico che non è riuscito.
      3. Controlla il valore della variabile proxy.client.ip come mostrato nel seguente screenshot di una traccia di esempio.

      4. Se proxy.client.ip non è presente nell'elenco, controlla il valore delle intestazioni dei messaggi X-Forwarded-For o True-Client-IP.

    2. Utilizzare i rapporti personalizzati

      Puoi creare report personalizzati per determinare se è stato generato un codice di stato 403 durante l'esecuzione del criterio di controllo dell'accesso nel proxy API e per determinare anche l'indirizzo IP del client. Ciò è particolarmente utile se il problema si è verificato in passato o se è intermittente e non riesci ad acquisire la traccia nell'interfaccia utente.

      Per informazioni su come creare report personalizzati, consulta Creare e gestire i report personalizzati. Nel report personalizzato, scegli:

      1. Somma del traffico come metrica e

      2. Proxy, Response Status Code (Codice di stato della risposta), Proxy Client IP (IP client proxy) e X-Forwarded-For come dimensioni.

      Questo dovrebbe aiutarti a determinare l'IP client o gli indirizzi IP passati che hanno generato l'errore.

  4. Se l'indirizzo IP del client (indicato dalla variabile proxy.client.ip) o qualsiasi indirizzo IP trasmesso nell'ambito della richiesta API corrisponde agli indirizzi IP specificati nell'elemento <SourceAddress> all'interno dell'elemento <MatchRule> di Access Control Policy, dove l'attributo action è impostato su DENY, questo è il motivo dell'errore.

    Nell'esempio mostrato sopra, il valore impostato nella variabile di riferimento proxy.client.ip (come mostrato nello screenshot della traccia precedente) corrisponde all'indirizzo IP definito nell'elemento <SourceAddress> del criterio di controllo dell'accesso, attivando così la risposta di errore:

    "faultstring": "Access Denied for client ip : 104.132.196.83"
    
    

Risoluzione

Se il criterio di controllo dell'accesso ha lo scopo di negare l'accesso alle richieste API provenienti dagli indirizzi IP specifici elencati in faultstring, il messaggio di errore è previsto. In questo caso, non sono richieste ulteriori azioni.

Tuttavia, se stabilisci che agli indirizzi IP specifici è possibile concedere l'accesso alle richieste API per il proxy API specifico, modifica il criterio di controllo dell'accesso per consentire l'accesso a tali indirizzi. In alternativa, puoi rimuovere il criterio di controllo dell'accesso dal proxy API se non vuoi negare l'accesso a nessun indirizzo IP.

Ecco un esempio che mostra come consentire l'accesso solo a un indirizzo IP specifico 104.132.196.83 e negare l'accesso per gli altri indirizzi:

<AccessControl name="ACL">
  <IPRules noRuleMatchAction = "DENY">
    <MatchRule action = "ALLOW">
      <SourceAddress mask="32">104.132.196.83</SourceAddress>
    </MatchRule>
  </IPRules>
</AccessControl>